配置防火墙规则

确定所需的防火墙规则

您的工作站通过 Private Service Connect 连接到控制平面。以下子部分提供了允许入站和出站的 gcloud CLI 命令示例。如需详细了解这些命令，请参阅 gcloud compute firewall-rules 参考信息。

允许入站

为了成功建立连接，请创建一个防火墙规则，以允许从工作站虚拟机向控制平面 IP 地址发出入站连接。Cloud 工作站会自动将 cloud-workstations-instance 网络标记应用于工作站虚拟机，您可以在创建适用于工作站虚拟机的防火墙规则时使用该标记。请参阅以下 gcloud CLI 命令示例：

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=INGRESS \
    --network=NETWORK \
    --rules=tcp\
    --source-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

替换以下内容：

• RULE_NAME：要创建的防火墙规则的名称
• NETWORK：工作站集群资源上指定的网络

• CONTROL_PLANE_IP：工作站集群控制平面的内部 IP 地址。

  如需查找此 IP 地址，请运行以下命令：

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  替换以下内容：

  • CLUSTER：集群的 ID 或集群的完全限定标识符。
  • PROJECT：托管工作站集群的项目。
  • REGION：工作站所在的区域位置，例如 us-central1。

允许出站

您还需要防火墙规则，以允许从端口 980 和 443 上的 TCP 协议的 cloud-workstations-instance 标记的虚拟机出站到控制平面 IP 地址，如以下 gcloud CLI 命令所示：

gcloud compute firewall-rules create RULE_NAME \
    --action=ALLOW \
    --direction=EGRESS \
    --network=NETWORK \
    --rules=tcp:980,tcp:443 \
    --target-tags=cloud-workstations-instance \
    --destination-ranges=CONTROL_PLANE_IP

替换以下内容：

• RULE_NAME：要创建的防火墙规则的名称
• NETWORK：此规则将连接到的网络。如果省略，则规则会附加到默认网络。

• CONTROL_PLANE_IP：工作站集群控制平面的内部 IP 地址。

  如需查找此 IP 地址，请运行以下命令：

  gcloud workstations clusters describe CLUSTER --project=PROJECT --region=REGION
  

  替换以下内容：

  • CLUSTER：集群的 ID 或集群的完全限定标识符。
  • PROJECT：托管工作站集群的项目。
  • REGION：工作站所在的区域位置，例如 us-central1。

如需了解详情，另请参阅以下主题：

• WorkstationCluster REST API

• 允许虚拟机之间的内部入站连接

使用自定义网络标记添加防火墙规则

您可以在Google Cloud 控制台中为工作站虚拟机配置自定义网络标记。创建或修改工作站配置时，请更新机器配置，以便在网络标记字段中添加网络标记。如需详细了解如何添加网络标记，请参阅创建机器配置时指定高级选项的说明。 或者，在使用 API 时，通过工作站配置资源上的 host.gceInstance.tags 选项应用自定义网络标记。

如需详细了解Google Cloud中的 Virtual Private Cloud (VPC) 防火墙规则，请参阅 VPC 文档中的创建 VPC 防火墙规则。